Over de beveiligingsinhoud van iOS 26.3 en iPadOS 26.3

In dit document wordt de beveiligingsinhoud van iOS 26.3 en iPadOS 26.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 26.3 en iPadOS 26.3

Releasedatum: 11 februari 2026

Accessibility

Beschikbaar voor: iPhone 11 en nieuwer, iPad Pro 12,9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 8e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2026-20645: Loh Boon Keat

Accessibility

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2026-20674: Jacob Prezant (prezant.us)

Bluetooth

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial-of-service-aanval opzetten met behulp van vervaardigde Bluetooth-pakketten

Beschrijving: een probleem met denial-of-service is verholpen door verbeterde validatie.

CVE-2026-20650: jioundai

Call History

Impact: wanneer een gebruiker extensies van een app voor livenummerherkenning heeft uitgeschakeld, kunnen er persoonsgegevens naar de extensies worden gelekt

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20638: Nils Hanff (@nils1729@chaos.social) van het Hasso Plattner Institute

CFNetwork

Impact: een externe gebruiker kan mogelijk willekeurige bestanden schrijven

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-20611: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

CoreMedia

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een race condition is verholpen door een verbeterde statusverwerking.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) van Iru

CoreServices

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2026-20615: Csaba Fitzl (@theevilbit) van Iru en Gergely Kalman (@gergely_kalman)

CoreServices

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er was een probleem bij de verwerking van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2026-20627: een anonieme onderzoeker

dyld

Impact: een aanvaller die geheugen kan wegschrijven, kan mogelijk willekeurige code uitvoeren. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem bij een uiterst geavanceerde aanval tegen specifiek gerichte personen in oudere versies van iOS dan iOS 26. CVE-2025-14174 en CVE-2025-43529 zijn ook uitgebracht in reactie op deze melding.

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-20649: Asaf Cohen

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2026-20626: Keisuke Hosoda

Kernel

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy en Mathy Vanhoef

LaunchServices

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen.

CVE-2026-20663: Zhongcheng Li van IES Red Team

libexpat

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-59375

libxpc

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20667: een anonieme onderzoeker

Live Captions

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20655: Richard Hyunho Im (@richeeta) van Route Zero Security (routezero.security)

Messages

Impact: een opdracht kan mogelijk de sandbox-beperkingen omzeilen

Beschrijving: een race condition is verholpen door verbeterde verwerking van symbolische links.

CVE-2026-20677: Ron Masas of BreakPoint.SH

Photos

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot foto's vanaf het toegangsscherm

Beschrijving: een probleem met invoervalidatie is verholpen.

CVE-2026-20642: Dalibor Milanovic

Sandbox

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20678: Óscar García Pérez en Stanislav Jelezoglo

Screenshots

Impact: een aanvaller kan mogelijk toegang krijgen tot de verwijderde notities van een gebruiker

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

Impact: een app in de sandbox heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende beperkingen voor de waarneembaarheid van appstatussen.

CVE-2026-20680: een anonieme onderzoeker

StoreKit

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2026-20606: LeminLimez

UIKit

Impact: een aanvaller met fysieke toegang tot een iPhone kan mogelijk schermafbeeldingen van gevoelige gegevens maken en bekijken vanaf de iPhone tijdens synchrone iPhone-weergave met een Mac

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2026-20640: Jacob Prezant (prezant.us)

VoiceOver

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2026-20661: Dalibor Milanovic

WebKit

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing van TSDubhe en Nan Wang (@eternalsakura13)

WebKit

Impact: een website kan gebruikers volgen via Safari-webextensies

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 305020

CVE-2026-20676: Tom Van Goethem

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing van TSDubhe en Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304657

CVE-2026-20636: EntryHi

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20621: Wang Yu of Cyberserval

Aanvullende erkenning

Accessibility

Met dank aan Himanshu Bharti (@Xpl0itme) van Khatima voor de hulp.

Bluetooth

Met dank aan Tommaso Sacchetti voor de hulp.

Contacts

Met dank aan Atul Kishor Jaiswal voor de hulp.

Kernel

Met dank aan Joseph Ravichandran (@0xjprx) van MIT CSAIL en Xinru Chi van Pangu Lab voor de hulp.

libpthread

Met dank aan Fabiano Anemone voor de hulp.

Managed Configuration

Met dank aan kado voor de hulp.

NetworkExtension

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

Shortcuts

Met dank aan Robert Reichel voor de hulp.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) voor de hulp.

Wallet

Met dank aan Aaron Schlitt (@aaron_sfn) van Hasso Plattner Institute, Cybersecurity - Mobile & Wireless, Jacob Prezant (prezant.us), Lorenzo Santina (@BigNerd95) en Marco Bartoli (@wsxarcher) voor de hulp.

WebKit

Met dank aan David Wood, EntryHi en Luigino Camastra van Aisle Research, Stanislav Fort van Aisle Research, Vsevolod Kokorin (Slonser) van Solidlab en Jorian Woltjer voor de hulp.

Widgets

Met dank aan Marcel Voß en Serok Çelik voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: februari 16, 2026